无先验知识的虚拟化平台内核层恶意行为深度检测与动态防御

基本信息
批准号:U1836113
项目类别:联合基金项目
资助金额:67.00
负责人:应凌云
学科分类:
依托单位:中国科学院软件研究所
批准年份:2018
结题年份:2021
起止时间:2019-01-01 - 2021-12-31
项目状态: 已结题
项目参与者:王嘉捷,邵帅,王婷,李保珲,孟庆钢,黄桦烽,闫佳,莫建平,余媛萍
关键词:
虚拟机监控器恶意行为检测内核完整性保护恶意代码分析漏洞利用攻击检测
结项摘要

Security is the most important concern for virtualization platform users. Protecting the integrity of the system kernel, detecting and defending against malicious behaviors such as vulnerability exploitation, kernel data tampering and malicious code injection is the key to ensure the security of virtual machines. However, without accurate prior knowledge, the existing methods are very limited in detecting unknown attacks of vulnerabilities and malicious codes. Especially when virtual machines are infected, it is extremely difficult to detect kernel-level malicious behaviors..The previous research by the applicant shows that malicious code detection based on virtual machine monitor (VMM) has a good effect. Following and developing the idea, this project intends to study the technology of kernel data dynamic protection, kernel code dynamic protection, vulnerability exploitation attack detection and malicious behavior deep detection. It solves the problems of kernel integrity protection caused by dynamic kernel data and complex kernel code. It also solves the problems of vulnerability exploitation detection without accurate prior knowledge, and kernel-level malicious behavior detection when virtual machines are infected. .This project is expected to build a dynamic defense scheme in virtualization platforms against kernel attacks with high precision and extensibility, and without accurate prior knowledge. The scheme supports and can be compatible with multi-type operating systems and multi-type virtual machine monitors.

安全性是虚拟化平台用户最为关心的问题。保护系统内核的完整性,检测和防御漏洞利用攻击、内核数据篡改、恶意代码植入等恶意行为,是确保虚拟机安全的关键。然而,在无准确先验知识的情况下,现有方案对未知漏洞利用攻击、未知恶意代码植入的检测效果都十分有限,尤其是在虚拟机已经被污染时,检测和发现内核层恶意行为更是十分困难。.申请人前期研究表明,基于虚拟机监控器(VMM)的恶意代码检测技术具有很好的检测效果。本项目拟在此基础上,研究内核数据动态保护技术、内核代码动态保护技术、漏洞利用攻击检测技术和恶意行为深度检测技术,解决内核数据动态性和内核代码复杂性带来的内核完整性保护难题,无准确先验知识的漏洞利用攻击检测问题,虚拟机被污染环境下的内核层恶意行为检测问题。.本项目的实施,预期可形成一套无需准确先验知识、高精度、可扩展的虚拟化平台内核层攻击动态防御方案,兼容和支持多类型操作系统和多类型虚拟机监控器。

项目摘要

安全性是虚拟化平台用户最为关心的问题。保护系统内核的完整性,检测和防御漏洞利用攻击、内核数据篡改、恶意代码植入等恶意行为,是确保虚拟机安全的关键。然而,在无准确先验知识的情况下,实现对未知漏洞利用攻击、未知恶意代码植入的检测十分困难。.申请人前期研究表明,基于虚拟机监控器的恶意代码检测技术具有很好的检测效果。在此基础上,本项目研究了内核数据动态提取技术、内核代码动态分析技术、漏洞利用攻击检测技术和恶意行为检测技术,开展了动态行为监控与参数实时提取、漏洞攻击辅助过程检测、轻量级控制流异常检测、内核代码调用关系合法性判定、多视角系统状态一致性分析、软件动态行为分析方法实现等相关研究工作,并在研究团队研发的虚拟化分析平台天穹沙箱上实现了相关技术方法,对方案进行了实验验证,在多个版本的Windows操作系统上的实验表明,团队提出的方案可以不依赖攻击代码特征发现漏洞利用攻击过程,检测未知恶意代码。.本项目执行期间累计取得的成果26项,包括期刊论文6篇,会议论文5篇,学术论著1本,发明专利14项,软件著作权1项,完成了项目预期目标。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

玉米叶向值的全基因组关联分析

玉米叶向值的全基因组关联分析

DOI:
发表时间:
2

正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究

正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究

DOI:10.19713/j.cnki.43-1423/u.t20201185
发表时间:2021
3

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
4

基于SSVEP 直接脑控机器人方向和速度研究

基于SSVEP 直接脑控机器人方向和速度研究

DOI:10.16383/j.aas.2016.c150880
发表时间:2016
5

小跨高比钢板- 混凝土组合连梁抗剪承载力计算方法研究

小跨高比钢板- 混凝土组合连梁抗剪承载力计算方法研究

DOI:10.19701/j.jzjg.2015.15.012
发表时间:2015

应凌云的其他基金

1

面向应用商店的移动智能终端恶意软件检测关键技术研究

面向应用商店的移动智能终端恶意软件检测关键技术研究

批准号:61502468
批准年份:2015
资助金额:20.00
项目类别:青年科学基金项目

相似国自然基金

1

基于硬件辅助安全增强的无先验知识的虚拟化平台内核层恶意行为深度检测与动态防御研究

批准号:U1836112
批准年份:2018
负责人:王丽娜
学科分类:F0204
资助金额:65.00
项目类别:联合基金项目
2

面向虚拟化平台的恶意软件防御方法研究

批准号:61100228
批准年份:2011
负责人:贾晓启
学科分类:F0205
资助金额:21.00
项目类别:青年科学基金项目
3

基于行为特征的恶意程序动态分析与检测研究

批准号:U1404620
批准年份:2014
负责人:曹莹
学科分类:F0210
资助金额:30.00
项目类别:联合基金项目
4

基于数据完整性的内核恶意软件检测方法研究

批准号:61902196
批准年份:2019
负责人:朱枫
学科分类:F0205
资助金额:25.00
项目类别:青年科学基金项目